VPN et Tor : faut-il les combiner ? Guide complet 2026

Publié le · Lecture d'environ 13 minutes

La question revient en boucle dans les forums, sur Reddit, dans les commentaires YouTube : « Faut-il utiliser un VPN avec Tor ? ». Les réponses y sont souvent tranchées, dogmatiques et mutuellement contradictoires. Les vendeurs de VPN répondent « oui, absolument indispensable ». Certains puristes répondent « surtout pas, ça casse l'anonymat ». La réalité, comme souvent en cybersécurité, est plus nuancée : cela dépend de votre modèle de menace, de votre configuration précise et de votre maîtrise technique des outils. Cet article propose un état des lieux complet du débat, avec les deux configurations possibles, leurs avantages et leurs limites, et les recommandations réelles du Tor Project.

⚫ Cette page est la vitrine. Le reste est ailleurs. Accès Tor →

Rappels techniques : VPN et Tor, deux outils différents

Avant de comparer les configurations, il est utile de rappeler ce que chaque outil fait réellement et en quoi ils diffèrent fondamentalement.

Un VPN, c'est quoi exactement ?

Un VPN (Virtual Private Network) est un tunnel chiffré entre votre appareil et un serveur intermédiaire opéré par un fournisseur. Tout votre trafic Internet passe par ce serveur, qui le relaie ensuite vers la destination finale. Le site que vous visitez voit l'adresse IP du serveur VPN, pas la vôtre. Votre fournisseur d'accès Internet voit que vous communiquez avec le VPN, mais ne peut pas lire le contenu (chiffré).

La caractéristique fondamentale d'un VPN est sa centralisation : toutes vos données transitent par une seule entreprise, qui pourrait théoriquement vous surveiller. Votre anonymat dépend entièrement de la politique de logs du fournisseur et de sa bonne foi. Mullvad, IVPN, ProtonVPN et quelques autres publient des audits externes et des warrant canaries pour établir cette confiance, mais structurellement, vous confiez votre trafic à une entreprise.

Tor, c'est quoi exactement ?

Tor est un réseau décentralisé de plus de 7 000 relais bénévoles répartis dans le monde. Votre trafic passe par au moins trois relais successifs, chacun ne connaissant que le précédent et le suivant. Personne, y compris les opérateurs de relais, ne peut reconstituer le chemin complet sans contrôler plusieurs nœuds simultanément. Le chiffrement en couches (l'« oignon ») garantit que chaque relais ne déchiffre que sa propre couche.

La différence structurelle avec un VPN est majeure : là où un VPN centralise la confiance, Tor la distribue. Pour approfondir le fonctionnement technique, consultez notre article détaillé sur les liens .onion et le routage en oignon.

Les deux ne protègent pas contre la même chose

Un VPN est excellent pour masquer votre géolocalisation (apparaître comme connecté depuis un autre pays) et contourner des blocages géographiques (voir Netflix US depuis l'Europe). Il est moins efficace pour l'anonymat réel : votre fournisseur VPN peut techniquement vous identifier si obligé légalement. Tor est conçu spécifiquement pour l'anonymat : aucun acteur unique ne peut vous désanonymiser, mais il est lent et certains services le bloquent. Les deux outils ont des usages qui se chevauchent partiellement, mais leurs garanties sont fondamentalement différentes.

Tor over VPN : vous → VPN → Tor → site

La configuration « Tor over VPN » consiste à se connecter d'abord au VPN, puis à lancer Tor Browser. Votre trafic suit le chemin : votre appareil → le VPN → le nœud d'entrée Tor → le nœud intermédiaire → le nœud de sortie → le site de destination.

Ce que cette configuration change

Votre fournisseur d'accès Internet voit uniquement que vous communiquez avec le VPN (trafic chiffré, destination unique). Il ne peut plus détecter que vous utilisez Tor, ce qui est utile dans les pays où Tor est bloqué ou suspect. Le nœud d'entrée Tor voit l'adresse IP du VPN, pas la vôtre : même si un nœud d'entrée compromis voulait vous identifier, il ne verrait que le VPN. Le site de destination, lui, voit toujours le nœud de sortie Tor, inchangé par rapport à un Tor seul.

Les avantages

Principal avantage : cacher à son FAI l'usage de Tor. Utile dans plusieurs contextes : pays autoritaires qui surveillent activement les utilisateurs de Tor (Iran, Chine, Russie partiellement), employeurs qui l'interdisent par charte, lieux de travail où l'on ne veut pas qu'une analyse réseau révèle l'usage. Cette protection est réelle tant que le VPN respecte sa politique de non-logs.

Deuxième avantage : contourner un blocage de Tor. Certains réseaux (universités, entreprises, hôtels) bloquent directement les connexions vers les nœuds d'entrée Tor. Passer par un VPN contourne ce blocage puisque la connexion sortante va vers le VPN, pas vers Tor directement.

Les inconvénients

Principal inconvénient : vous confiez votre trafic à un nouveau tiers. Le VPN voit tout votre trafic entrant avant qu'il n'atteigne Tor. Si le VPN conserve des logs (malgré ses promesses) ou est obligé par la justice de les livrer, il peut révéler que vous utilisez Tor à des moments précis, ce qui peut être corrélé avec des activités. Votre anonymat dépend donc de la fiabilité du VPN.

Deuxième inconvénient : performances dégradées. Ajouter un saut réseau augmente la latence et peut réduire le débit. Tor est déjà lent, et la combinaison avec un VPN peut rendre certains usages quasi impraticables (streaming, visioconférence).

Troisième inconvénient : création d'un point de faiblesse unique. Si le VPN est compromis ou mal configuré, tout votre trafic Tor passe par un endroit observable. Avec Tor seul, aucun acteur unique ne peut vous désanonymiser.

VPN over Tor : vous → Tor → VPN → site

La configuration « VPN over Tor » est plus complexe à mettre en œuvre et beaucoup moins courante. Vous lancez d'abord Tor, puis vous vous connectez à un VPN à travers Tor. Le trafic suit le chemin : votre appareil → le nœud d'entrée → le nœud intermédiaire → le nœud de sortie → le VPN → le site.

Ce que cette configuration change

Le site de destination voit l'IP du VPN, pas celle d'un nœud de sortie Tor. Cela permet d'accéder à des services qui bloquent les IPs Tor connues (beaucoup de sites commerciaux, CAPTCHAs agressifs). Votre FAI voit que vous utilisez Tor, mais pas vers quoi. Le VPN reçoit votre trafic final mais ignore votre IP réelle : il ne voit qu'un nœud de sortie Tor.

Les avantages

Principal avantage : accéder à des services qui bloquent Tor. De nombreux sites commerciaux (banques, plateformes de e-commerce, certains réseaux sociaux) bloquent systématiquement les IPs des nœuds de sortie Tor. En sortant via un VPN, vous récupérez une IP propre aux yeux du site.

Deuxième avantage : le VPN ne peut pas vous identifier, puisqu'il ne voit que votre trafic passant par Tor. Même s'il conserve des logs, ces logs sont inutiles pour remonter à vous.

Les inconvénients

Principal inconvénient : configuration techniquement complexe. Il faut un client VPN capable de passer à travers Tor (SOCKS proxy), une configuration manuelle précise, et une compréhension du flux. Une mauvaise configuration peut faire fuir votre trafic réel en dehors de Tor (DNS leaks, WebRTC).

Deuxième inconvénient : le VPN devient un point d'observation sur votre trafic final, sans qu'il soit anonyme. Si vous visitez un site depuis votre VPN over Tor avec votre compte utilisateur réel, le VPN sait ce que vous y faites. Cela ne brise pas votre anonymat IP, mais expose votre activité.

Troisième inconvénient : performances très dégradées. Les latences s'additionnent, le débit chute, certains protocoles peuvent même ne pas fonctionner du tout. La configuration est réservée aux cas d'usage où elle est réellement nécessaire.

La position officielle du Tor Project

La documentation officielle du Tor Project, maintenue sur support.torproject.org, adopte une position nuancée sur la combinaison avec un VPN. Elle reconnaît que certains cas d'usage peuvent justifier l'ajout, mais ne le recommande pas par défaut.

Plusieurs arguments sont avancés. Premièrement, l'ajout d'un VPN introduit un nouveau point de confiance, ce qui va à l'encontre de la philosophie distribuée de Tor. Deuxièmement, les protections offertes par un VPN peuvent être obtenues par d'autres moyens intégrés à Tor (bridges, pluggable transports) sans les inconvénients du VPN. Troisièmement, les erreurs de configuration peuvent gravement compromettre l'anonymat : une fuite DNS, un mauvais routage, un kill switch mal configuré peuvent exposer l'utilisateur. Le Tor Project estime que ces erreurs sont plus fréquentes que les bénéfices espérés pour la plupart des utilisateurs.

En résumé, la position du Tor Project est : utiliser Tor seul, correctement configuré, avec des bridges si nécessaire, est la configuration recommandée par défaut. L'ajout d'un VPN doit être une décision informée, correspondant à un besoin précis que Tor seul ne peut satisfaire.

L'alternative : les pluggable transports

Pour beaucoup de cas où l'on envisage « Tor over VPN », la vraie solution recommandée par le Tor Project est l'usage des pluggable transports. Ce sont des modules intégrés à Tor Browser qui camouflent le trafic Tor pour qu'il ressemble à du trafic ordinaire, échappant aux systèmes de détection et de blocage.

obfs4

obfs4 est le pluggable transport le plus utilisé. Il transforme le trafic Tor en un flux de données aléatoires indistinguable par le Deep Packet Inspection. Pour un observateur réseau (votre FAI, un gouvernement), votre trafic ne ressemble à rien de reconnaissable. Pas à du Tor, pas à du HTTPS classique, à rien. Efficace contre la plupart des systèmes de censure.

meek

meek (meek-azure notamment) fait passer votre trafic par le CDN Microsoft Azure. Vos connexions ressemblent à des requêtes vers azure.com, qui n'est pas bloqué dans la plupart des pays. L'efficacité est excellente contre la censure sophistiquée, mais la bande passante est très limitée car tout passe par Azure.

Snowflake

Snowflake est un système particulièrement ingénieux lancé en 2019. Des volontaires à travers le monde installent une extension Chrome ou Firefox qui transforme leur navigateur en proxy temporaire Tor quand ils sont en ligne. Les utilisateurs en pays censurés sont routés à travers ces proxies aléatoires, ce qui rend le blocage quasi impossible (il faudrait bloquer tous les navigateurs qui ouvrent WebRTC). Snowflake a été massivement utilisé en Iran lors des manifestations de 2022-2023.

Ces trois pluggable transports remplissent efficacement la fonction principale pour laquelle beaucoup d'utilisateurs envisagent un VPN : cacher à leur FAI qu'ils utilisent Tor. Ils sont intégrés à Tor Browser, gratuits, open source, sans introduire de tiers de confiance supplémentaire.

Cas d'usage concrets : quelle configuration pour quoi

Pour clarifier la décision, voici des cas d'usage typiques avec la configuration recommandée.

Consulter la BBC via son .onion depuis chez soi en France. Tor seul suffit. Votre FAI voit que vous utilisez Tor, ce qui est parfaitement légal. Aucune raison particulière d'ajouter un VPN.

Consulter des médias censurés depuis l'Iran ou la Chine. Tor + pluggable transports (obfs4 ou Snowflake). Un VPN est une alternative mais les pluggable transports sont techniquement mieux adaptés à cette menace spécifique et intégrés nativement.

Journaliste d'investigation communiquant avec une source sensible. Tails OS + Tor, sans VPN. La philosophie d'opsec privilégie la distribution de confiance plutôt que son renforcement centralisé. Ajouter un VPN introduit un risque supplémentaire sans gain majeur.

Chercheur en cybersécurité analysant un malware. Tor over VPN peut se justifier pour masquer l'activité à l'employeur ou pour éviter que son IP professionnelle soit associée à des comportements inhabituels. Dans ce cas, le VPN sert plus de compartimentation professionnelle que d'anonymat pur.

Accéder à un service bancaire qui bloque Tor. VPN over Tor permet d'obtenir une IP propre. Mais rappelons que se connecter à son compte bancaire sur Tor annule en grande partie l'anonymat (la banque vous identifie via le compte). Il est probablement plus simple d'utiliser le VPN seul, sans Tor, pour ce cas.

Comment choisir un VPN compatible Tor

Si vous décidez que votre situation justifie un VPN en combinaison avec Tor, voici les critères à examiner.

Politique de logs vérifiable. Le VPN doit publier une politique de non-logs claire et, idéalement, avoir été audité par une entreprise de cybersécurité indépendante. Mullvad, IVPN et ProtonVPN ont tous publié des audits. Un warrant canary régulièrement mis à jour est un bon signe.

Juridiction. Le pays où est enregistré le fournisseur VPN détermine le cadre légal applicable. Les Five Eyes et Fourteen Eyes (US, UK, Australie, Canada, NZ et alliés) ont des obligations de coopération en matière de renseignement. Des pays comme la Suisse, la Suède, le Panama offrent traditionnellement moins de pression.

Méthodes de paiement anonymes. Pour vraiment préserver l'anonymat, le VPN doit accepter des paiements sans lien avec votre identité : espèces (Mullvad accepte les envois postaux de cash), cryptomonnaies, cartes prépayées. Un paiement par carte bancaire personnelle vous identifie auprès du VPN.

Kill switch fonctionnel. En cas de coupure du VPN, votre trafic ne doit pas basculer en clair vers Tor. Un kill switch bien configuré coupe toute connexion si le VPN tombe.

Pas de collecte d'email ou de données personnelles. Mullvad se distingue en n'exigeant aucune adresse email : un identifiant numérique aléatoire vous est attribué à l'inscription. C'est la configuration la plus cohérente avec une logique d'anonymat.

Les erreurs à éviter

Plusieurs erreurs récurrentes compromettent l'efficacité de la combinaison VPN + Tor.

Utiliser un VPN gratuit. Les VPN gratuits (exception faite de Proton VPN Free dans une certaine mesure) financent leur service par la collecte et la revente de données utilisateurs. Leur usage en combinaison avec Tor est contre-productif : vous payez en données ce que vous cherchez à protéger.

Oublier les fuites DNS. Si votre DNS reste configuré sur les serveurs de votre FAI pendant que vous utilisez Tor, certaines requêtes peuvent révéler votre activité. Tor Browser gère cela par défaut, mais les configurations manuelles combinées avec un VPN peuvent créer des fuites.

Utiliser des comptes nominatifs. Se connecter à son compte Gmail personnel pendant une session Tor + VPN annule tout le dispositif. L'anonymat IP ne protège que si l'identité n'est pas révélée par ailleurs. Consultez notre guide d'accès au dark web en sécurité pour les règles d'opsec complètes.

Se fier aveuglément aux publicités de VPN. Les fournisseurs de VPN ont un intérêt commercial à vous convaincre que leur service est indispensable. Leurs arguments sont souvent partiels voire trompeurs. Les recommandations indépendantes (The Grugq, Micah Lee, Matt Tait, le wiki PrivacyGuides) sont plus fiables.

Pour aller plus loin

Si vous explorez la question de l'anonymat en profondeur, plusieurs ressources complètent utilement cet article. Notre guide complet d'accès au dark web détaille l'installation et la configuration de Tor Browser pas à pas. Notre guide sur Tails OS présente la solution la plus cohérente pour un usage sensible (OS amnésique qui route tout par Tor par défaut).

Notre pilier sur les 50 mythes du dark web démystifiés déconstruit notamment le mythe selon lequel « Tor sans VPN est dangereux », entretenu par le marketing des VPN. Notre glossaire définit précisément tous les termes techniques utilisés ici (VPN, pluggable transport, kill switch, etc.). Pour les outils complémentaires de vie privée, consultez notre catégorie Outils et Vie Privée.

FAQ sur la combinaison VPN + Tor

Le Tor Project recommande-t-il d'utiliser un VPN avec Tor ?
Non, pas systématiquement. La documentation officielle du Tor Project indique que la plupart des utilisateurs n'ont pas besoin d'ajouter un VPN à Tor, qui introduit un nouveau point de confiance sans nécessairement améliorer la sécurité. Des configurations spécifiques peuvent être pertinentes (masquer à son FAI l'usage de Tor, contourner un blocage), mais ce n'est pas une recommandation par défaut.
Tor over VPN ou VPN over Tor, quelle différence ?
« Tor over VPN » : vous vous connectez d'abord au VPN, puis lancez Tor. Le VPN voit que vous utilisez Tor mais pas votre trafic ; les sites voient votre circuit Tor, pas le VPN. « VPN over Tor » : vous lancez Tor, puis vous connectez à un VPN via Tor. Le VPN voit votre trafic final mais pas votre IP ; les sites voient le VPN, pas Tor. Chaque configuration a ses cas d'usage spécifiques.
Un VPN payant est-il obligatoire pour Tor ?
Non, absolument pas. Tor fonctionne parfaitement seul et offre déjà un anonymat fort. Ajouter un VPN est un choix qui répond à des scénarios spécifiques (cacher l'usage de Tor à son FAI, contourner un blocage réseau). Pour consulter la BBC sur .onion, utiliser ProtonMail via Tor ou explorer OnionDir, Tor seul suffit largement. Les publicités de VPN entretiennent une confusion à ce sujet pour vendre leurs abonnements.
Quels VPN sont réellement compatibles avec Tor ?
Techniquement, la plupart des VPN fonctionnent avec Tor. Les plus souvent cités par la communauté pour leur respect de la vie privée : Mullvad (Suède, pas de compte email requis, audits publics), IVPN (Gibraltar, audits externes), ProtonVPN (Suisse, intégration native Tor sur les plans payants). NordVPN et ExpressVPN proposent des serveurs « Onion over VPN » mais leur modèle commercial exige plus de logs. Le choix dépend de votre modèle de menace.
L'ajout d'un VPN réduit-il les performances de Tor ?
Oui, inévitablement. Tor est déjà lent par nature (latence 200-2000 ms, débit limité). Ajouter un VPN multiplie les sauts réseau et rajoute du chiffrement. En « Tor over VPN », vous ajoutez un saut avant l'entrée Tor ; en « VPN over Tor », vous ajoutez un saut après la sortie. Dans les deux cas, la navigation devient sensiblement plus lente. Pour un usage basique de Tor, cette dégradation n'en vaut pas forcément la peine.
Les pluggable transports de Tor remplacent-ils un VPN ?
En grande partie oui. Les pluggable transports comme obfs4, meek et Snowflake sont conçus pour camoufler le trafic Tor et contourner les systèmes de blocage. Ils remplissent la fonction principale qu'on attend d'un VPN avec Tor : masquer à un observateur réseau (FAI ou gouvernement) le fait que vous utilisez Tor. Intégrés directement dans Tor Browser, ils ne nécessitent pas d'abonnement externe et n'introduisent pas de point de confiance supplémentaire.